Ich weiß nicht, ob das eine Eigenheit von Ingenieuren ist, aber warum sie immer so viele scheinbar plausible Dinge ohne jede Tiefe ausbreiten, ist mir ein Rätsel. Mich interessiert das Thema auch, deshalb habe ich den Text genau gelesen, aber Substanz war da keine.
Auch wenn GitHub nicht der Marktbeherrscher ist, dachte ich doch, dass es an der Spitze des Trends steht. Der Umfang der einzelnen Projekte ist zu klein, sodass ihr Einsatzanteil am Markt gering ist, aber insgesamt betrachtet wurden dort meiner Meinung nach viele effektive Konzepte entwickelt. Vielleicht liegt das daran, dass ich Entwickler bin.
Der Ansatz, bei gleichzeitiger Wahrung der Node.js-Kompatibilität über eine WASM-Sandbox zu isolieren, ist interessant.
Diese Woche habe ich gesehen, wie es bei Flowise gewaltig gekracht hat, weil ein MCP-Knoten Benutzereingaben unverändert mit Function() ausgeführt hat. Bei so einer Struktur fühlt es sich etwas beunruhigend an, als würde, wenn man einmal durchbricht, einfach alles offenstehen.
Mit so etwas wie --safe hätte man es wohl bis zu einem gewissen Grad verhindern können, aber wie gut das in der Praxis funktioniert, wird man wohl erst wissen, wenn man es tatsächlich ausprobiert.
Ich entwickle im Bereich Mobile Security, und das fühlt sich ehrlich gesagt etwas beängstigend an.
Bei Finanz-Apps haben wir unsere Abwehr bisher unter der Annahme aufgebaut, dass Angreifer manuelle Analysen mit Frida oder Ghidra durchführen. Auch die Tiefe der Obfuskation und die Erkennungslogik basieren letztlich darauf, wie viel Zeit ein Mensch für die Analyse braucht, aber wenn man sich die jüngsten Entwicklungen anschaut, wirkt es so, als würde diese Annahme langsam ins Wanken geraten.
Ich kann nicht genau den Finger darauf legen, aber das Tempo ist anders. Es fühlt sich an, als würde sich die Sicherheitsbranche komplett verändern ...
Ich habe mal einen MCP-Server gebaut und auf npm hochgeladen, und dieser Vorfallbericht war schon ziemlich beklemmend.
MCP-Server landen am Ende ja ebenfalls direkt auf npm und PyPI, und nicht wenige werden installiert, ohne Versionen festzupinnen; außerdem gibt es Dinge wie ein Meldesystem oder Trusted Publisher dort noch nicht. Obwohl LiteLLM nur etwas mehr als zwei Stunden exponiert war, waren die Download-Zahlen schon so hoch, dass ich dachte: Wenn so etwas hier einmal eindringt, bleibt es vermutlich ziemlich lange bestehen.
Bei Claude Code scheint es auch Fälle zu geben, in denen solche Schutzmechanismen bei pip install nicht sauber greifen. Wenn der Agent den Paket-Installationsfluss eigenständig ausführt, ist es unklar, an welcher Stelle man das überhaupt blockieren sollte.
Ich habe es ausprobiert, aber es ist wohl noch ein Prototyp? Daher ist es noch nicht so weit, dass ich es unbedingt empfehlen würde; in etwa einem Monat kann man es dann nutzen.
Widerlich
Ist zwar gut, aber mein iPad hält das nicht aus, haha.
Wie können sie es wagen, das Zeug zu stehlen, das Anthropic von menschlichen Programmierern gestohlen hat??
-Elon Musk
Na gut, bei einer KI schon, aber hat das indische Forschungsteam es nicht einmal gelesen?
Ein köstlicher Beitrag und ein großartiger Autor dazu….
Von Verrückten unter den Verrückten sind es wohl die westlichen Nerds..
Wenn man so etwas sieht, könnte es 2038 vielleicht wirklich chaotisch werden.
Menschen wiederholen dieselben Fehler.
Nach dem Clean Room nun auch rechtliche Spannungen. Cool, gefällt mir.
zzzzz
Wow, das ist wirklich völlig unglaublich....
Der Artikel ist wirklich gut.
Ich weiß nicht, ob das eine Eigenheit von Ingenieuren ist, aber warum sie immer so viele scheinbar plausible Dinge ohne jede Tiefe ausbreiten, ist mir ein Rätsel. Mich interessiert das Thema auch, deshalb habe ich den Text genau gelesen, aber Substanz war da keine.
Auch wenn GitHub nicht der Marktbeherrscher ist, dachte ich doch, dass es an der Spitze des Trends steht. Der Umfang der einzelnen Projekte ist zu klein, sodass ihr Einsatzanteil am Markt gering ist, aber insgesamt betrachtet wurden dort meiner Meinung nach viele effektive Konzepte entwickelt. Vielleicht liegt das daran, dass ich Entwickler bin.
Der Ansatz, bei gleichzeitiger Wahrung der Node.js-Kompatibilität über eine WASM-Sandbox zu isolieren, ist interessant.
Diese Woche habe ich gesehen, wie es bei Flowise gewaltig gekracht hat, weil ein MCP-Knoten Benutzereingaben unverändert mit
Function()ausgeführt hat. Bei so einer Struktur fühlt es sich etwas beunruhigend an, als würde, wenn man einmal durchbricht, einfach alles offenstehen.Mit so etwas wie
--safehätte man es wohl bis zu einem gewissen Grad verhindern können, aber wie gut das in der Praxis funktioniert, wird man wohl erst wissen, wenn man es tatsächlich ausprobiert.Wie hatten AWS- oder GitHub-Mac-Instances bisher eigentlich kein Problem damit ...?
Ich entwickle im Bereich Mobile Security, und das fühlt sich ehrlich gesagt etwas beängstigend an.
Bei Finanz-Apps haben wir unsere Abwehr bisher unter der Annahme aufgebaut, dass Angreifer manuelle Analysen mit Frida oder Ghidra durchführen. Auch die Tiefe der Obfuskation und die Erkennungslogik basieren letztlich darauf, wie viel Zeit ein Mensch für die Analyse braucht, aber wenn man sich die jüngsten Entwicklungen anschaut, wirkt es so, als würde diese Annahme langsam ins Wanken geraten.
Ich kann nicht genau den Finger darauf legen, aber das Tempo ist anders. Es fühlt sich an, als würde sich die Sicherheitsbranche komplett verändern ...
Ich habe mal einen MCP-Server gebaut und auf npm hochgeladen, und dieser Vorfallbericht war schon ziemlich beklemmend.
MCP-Server landen am Ende ja ebenfalls direkt auf npm und PyPI, und nicht wenige werden installiert, ohne Versionen festzupinnen; außerdem gibt es Dinge wie ein Meldesystem oder Trusted Publisher dort noch nicht. Obwohl LiteLLM nur etwas mehr als zwei Stunden exponiert war, waren die Download-Zahlen schon so hoch, dass ich dachte: Wenn so etwas hier einmal eindringt, bleibt es vermutlich ziemlich lange bestehen.
Bei Claude Code scheint es auch Fälle zu geben, in denen solche Schutzmechanismen bei
pip installnicht sauber greifen. Wenn der Agent den Paket-Installationsfluss eigenständig ausführt, ist es unklar, an welcher Stelle man das überhaupt blockieren sollte.Sieht ordentlich aus.
Ich habe es ausprobiert, aber es ist wohl noch ein Prototyp? Daher ist es noch nicht so weit, dass ich es unbedingt empfehlen würde; in etwa einem Monat kann man es dann nutzen.